WhatsApp es una plataforma de mensajería privada que fue originalmente diseñada como una herramienta de uso personal para que las personas enviaran mensajes a sus familiares y seres queridos.

Hoy en día, son muchas las empresas que utilizan WhatsApp como herramienta empresarial en su día a día para ponerse en contacto con sus clientes, en el mantenimiento de las relaciones contractuales existentes.

Recientemente, la Agencia Española de Protección de Datos (en adelante AEPD), ha archivado las actuaciones en el procedimiento E/01824/2019, en una reclamación presentada contra VODAFONE, por intentar comunicarse con un usuario a través de WhatsApp, procedimiento que no tiene autorizado expresamente.

Pues bien, el artículo 6.1.b) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante RGPD), dispone que el tratamiento es lícito cuando es necesario para la ejecución de un contrato en el que el interesado es parte, o para la aplicación a petición de este de medidas precontractuales. Es por lo que, en este supuesto, el dato del número de teléfono se utiliza dentro de la relación contractual. Dado que en el presente supuesto la actuación de la entidad reclamada se encuadra en el apartado b) del citado artículo, la AEPD resuelve que no existe vulneración en materia de protección de datos.

Si bien es cierto que en esta Resolución la AEPD concluye que es lícito el uso del dato del teléfono para ponernos en contacto con nuestros clientes vía WhatsApp, amparado en la existencia de una relación contractual, en lo que a comunicaciones comerciales por medios electrónicos se refiere, debemos acudir a lo dispuesto en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante LSSI) que establece como regla general, la obligación de recabar el consentimiento de forma previa, expresa e informada acerca del tipo de tratamiento de datos y su finalidad, con advertencia sobre el derecho a denegar o retirar el consentimiento.

En este sentido conviene recordar al respecto, un informe jurídico de la AEPD en cuanto al envío de comunicaciones comerciales vía electrónica se refiere:

La remisión de comunicaciones comerciales por medios electrónicos se encuentra regulada por el artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico, cuyo apartado 1 dispone claramente que:

“Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”.

No obstante, se permite el envío de comunicaciones comerciales a aquellos usuarios con los que exista una relación contractual previa, en cuyo caso la entidad podrá enviar publicidad sobre productos o servicios similares a los contratados por el cliente.

En todo caso, la entidad deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

La Ley obliga, además, a las entidades a habilitar procedimientos sencillos y gratuitos para que los destinatarios puedan revocar el consentimiento que hubieran prestado, así como a facilitar información accesible por vía telemática sobre dichos procedimientos.

De este modo, el citado artículo 21 LSSI opera como límite, al que habrá de estarse en todo caso, cuando las acciones de mercadotecnia o publicidad se lleven a cabo a través de medios electrónicos, al establecerse para estos supuestos la regla general del consentimiento expreso del interesado para su realización, a menos que dichas acciones se refieran a “productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente”.

A estos efectos, señala el informe anteriormente citado, que la Ley 34/2002 constituye una norma especial en relación con estas actividades, por lo que no podría acudirse para resolver la cuestión planteada en este punto a las previsiones del reglamento general de protección de datos, sino que habrá de tenerse en cuenta lo dispuesto en esta norma especial cuando las comunicaciones se lleven a cabo a través de medios electrónicos.

Por tanto, el régimen aplicable a las comunicaciones comerciales por medios electrónicos, en cuanto normativa específica, prevalece frente al régimen general del Reglamento de protección de datos, sin que la aprobación del mismo implique obligaciones adicionales, y sin perjuicio de que deba de procederse a la revisión de la Directiva 2002/58/CE para garantizar su coherencia con el RGPD.

Estas reglas son también aplicables al envío de mensajes publicitarios por otros medios de comunicación electrónica individual equivalente, como el servicio de mensajería de la telefonía móvil (WhatsApp).

¿Pero, como afecta a esta cuestión el reciente anuncio de la plataforma de mensajería?

Publicado en Blog

En estos momentos especiales suele ser típico que las empresas y/o profesionales realicemos envíos de felicitaciones navideñas, las cuales nos ayudan a dar una imagen mucho más humana y cercana para con clientes.
Sin embargo, no debemos olvidar que la dirección de correo electrónico es un dato de carácter personal, que se encuentra protegido por la siguiente normativa:

-Reglamento Europeo de Protección de Datos (RGPD).

-La reciente Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, LO 3/2018 (LOPD).

-Así como la Ley 34/2002, de Servicios de la Sociedad de la Información y comercio electrónico (LSSI), la cual tiene por objeto la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica, objeto que podemos encontrar reflejado en su propio artículo 1, a lo que debemos dejar claro que las comunicaciones comerciales por correo electrónico son un servicio de la sociedad de la información.

La LSSI prohíbe las comunicaciones comerciales no solicitadas o expresamente autorizadas, par-tiendo de un concepto de comunicación comercial que se califica como servicio de la sociedad de la información y que se define en su Anexo de la siguiente manera:
1. f) "Comunicación comercial: toda forma de comunicación dirigida a la promoción, direc-ta o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional."


De aquí podemos deducir que el envío por parte de una empresa o profesional de una felicitación navideña no podría escapar de esta definición, puesto que se considera como un evidente acto de promoción de la imagen. Pero pasemos a desarrollarlo:
En primer lugar, aclararemos por qué el correo electrónico se considera como un dato de carácter personal, esto es así dado que en la mayoría de los casos el correo electrónico tiene información acerca de su titular, o permite proceder a la identificación de este.


Por lo tanto, una vez que tenemos conocimiento de esto, deberemos estar muy atentos y contar con la solicitud previa o el consentimiento expreso del destinatario (artículo 21.1 LSSI):
1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo elec-trónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.”
Debemos de aplicar esto, a pesar de que resulte algo muy tentador y a la vez muy cómodo a la hora de enviar, ya que su coste es muy bajo y además con solo un “clic” estaremos enviando a toda nuestra lista de contactos.


Debemos de tener siempre en mente que sólo podremos utilizar el correo electrónico como medio para el envío de felicitaciones de Navidad a aquellos usuarios de los que dispon-gamos de un previo consentimiento para la recepción de comunicaciones comerciales.

Un punto para destacar de la LSSI en este ámbito es el siguiente:

Publicado en Blog
Viernes, 15 Enero 2016 13:17

El envío de spam vía WhatsApp

Primera sanción de la AEPD por el envío continuado de publicidad a través de WhatsApp.

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 600 euros, a una empresa de ocio de Madrid, por el uso de la plataforma WhatsApp para enviar publicidad a terceros.

La LSSICE define comunicación comercial como: "toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional."

Asimismo, define Servicios de la sociedad de la información como: "todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario."

Una vez más, la AEPD, expone los criterios mantenidos sobre el envío de "spam" así como las consecuencias de realizar esta práctica, en este mismo blog hemos hablado y analizado dichos criterios.

Además, el artículo 21.1 LSSICE prohíbe, expresamente, las comunicaciones comerciales por correo electrónico u otro medio que, previamente no hayan sido autorizadas por los destinatarios de las mismas.

Publicado en Blog

En nuestro último artículo nos centrábamos en analizar las diferentes directrices y obligaciones, para los envíos de publicidad, derivadas de la Ley Orgánica de Protección de Datos (LOPD) y el Reglamento 1720/2007 (RDLOPD) que la desarrolla.

En esta ocasión, nos centraremos en estudiar qué obligaciones debemos seguir para el envío de publicidad siguiendo los criterios establecidos en la Ley de Servicios de la Sociedad de la Información (LSSI).

Como ya comentamos con anterioridad, el ámbito de aplicación de la LOPD alcanza respecto de las personas físicas, en cambio en la LSSI se regulan las comunicaciones comerciales por vía electrónica, esto es, correo electrónico o cualquier otro sistema de mensajería electrónica como medio de comunicación comercial, sin que la condición de persona física o jurídica del destinatario sea relevante.

Es un dato importante y a tener muy presente, pues aquí, por ejemplo, una comunicación comercial enviada a un email tipo "info" que encontramos en cualquier página web de cualquier empresa, estaría dentro del ámbito de aplicación de la LSSI.

En el Anexo de la LSSI, en el apartado f) define "comunicación comercial", como "toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional".

Es decir, que un "inofensivo" email en el que simplemente saludas a un potencial cliente, pero aprovechamos para poner el logo de nuestra empresa, puede ser considerado como una comunicación comercial, aunque en el cuerpo del email no se haga referencia explícita a los productos o servicios ofertados.

Por su parte, el artículo 21 de la LSSI regula el envío de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes y establece que:

Publicado en Blog
Sábado, 11 Julio 2015 16:15

La publicidad en la LOPD y en la LSSI (I)

Una práctica más que habitual en el día a día de cualquier empresa es el envío de publicidad a clientes o potenciales clientes.

Una práctica, en la que si no se siguen las directrices y obligaciones marcadas tanto en la Ley Orgánica de Protección de Datos (LOPD) y el Reglamento 1720/2007 (RDLOPD)  que la desarrolla, como en la Ley de Servicios de la Sociedad de la Información (LSSI), pueden suponer importantes sanciones por parte del órgano regulador, esto es, la Agencia Española de Protección de Datos.

En los próximos artículos vamos a analizar y explicar cuáles son esas directrices y obligaciones, señalando las diferencias entre la LOPD y la LSSI.

Como punto de partida indicar que la LOPD, tal y como se indica en su artículo 1 "tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar"

Es decir, que su ámbito de aplicación alcanza respecto de las personas físicas.

Sin embargo la LSSI regula las comunicaciones comerciales por vía electrónica sin que la condición de persona física o jurídica del destinatario sea relevante.

Como segunda puntualización, debemos señalar que cuando hablamos de publicidad en la LOPD, nos estamos refiriendo al correo directo (también conocido como mailing) que consiste en enviar información publicitaria por correo postal, como por ejemplo, un folleto publicitario, que suele ir acompañado de una carta personalizada.

En cambio y en relación con la publicidad en la LSSI, estaremos hablando del ciberbuzoneo (e-mailing), que es un método también de publicidad directa, pero en el que se utiliza el correo electrónico (o cualquier otro sistema de mensajería electrónica) como medio de comunicación comercial.

1. La publicidad en la LOPD y el RDLOPD.

El capítulo II del título IV del RDLOPD, lleva como título "Tratamientos para actividades de publicidad y prospección comercial"

EL artículo 45 del RDLOPD establece:

Publicado en Blog
Martes, 10 Marzo 2015 08:37

El Spam y los criterios de la AEPD (II)

Si en el post de la semana pasada hacíamos un repaso de los criterios seguidos, por la Agencia Española de Protección de Datos, para entender que no hay incumplimiento del artículo 21 de la LSSICE. Veamos ahora, algunos de los criterios seguidos por la Agencia, para sancionar por el envío de comunicaciones comerciales sin el consentimiento:

a. Por no incluir en cada comunicación comercial, una dirección de correo electrónico u otra dirección electrónica válida a través de la cual pueda ejercitarse, por su destinatario, el derecho de oposición a recibir nuevos mensajes por este medio. Además añade, en este caso la Agencia, que no puede entenderse, como pretende la representación del denunciado, que como la dirección de correo electrónica habilitada para atender las solicitudes de baja es la misma desde la que se efectuó el envío, no resulta necesario incluir dicha información en el contenido de las comunicaciones comerciales remitidas por ese medio. La inclusión de dicho procedimiento de oposición es una obligación del denunciado, pese a que se produzca una coincidencia entre la dirección de origen de los correos y la dirección electrónica habilitada para gestionar las bajas (1000 euros de sanción PS/00373/2014).

b. Porque la empresa denunciada, habiendo notificado a la parte denunciante que procedía la baja de sus datos de sus ficheros, envío hasta siete comunicaciones comerciales tras esa comunicación de baja (2300 euros de sanción PS/00524/2014).

c. En este caso, siendo publicidad por sms, el denunciante en ninguno de los mensajes presenta información relativa al modo de ejercicio del derecho de oposición, y además no fue capaz de demostrar tener el consentimiento del afectado (3900 euros de sanción PS/00578/2014).

De los diferentes criterios expuestos en ambos artículos, podríamos extraer las siguientes conclusiones:

Publicado en Blog
Lunes, 02 Marzo 2015 23:10

El Spam y los criterios de la AEPD (I)

Todos hemos recibido, en alguna ocasión y otras veces en más ocasiones de las deseadas, correos electrónicos publicitarios sin que hayamos dado nuestro consentimiento para ello. Es lo que conocemos como spam o correo basura.

El artículo 21 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante LSSICE), regula las comunicaciones comerciales realizadas a través de correo electrónico, este artículo establece:
1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

El bajo coste, sencillez y rapidez de este tipo de envíos publicitarios, a través de medios electrónicos, hace que muchas empresas incumplan reiteradamente con el precepto antes mencionado.

Esta práctica es denunciable ante la Agencia Española de Protección de Datos, puesto que tiene competencia sancionadora, a este respecto, tal y como establece el artículo 43.1 párrafo segundo de la LSSICE (…) Igualmente, corresponderá a la Agencia de Protección de Datos la imposición de sanciones por la comisión de las infracciones tipificadas en los artículos 38.3 c), d) e i) y 38.4 d), g) y h) de esta Ley.

Hemos revisado algunas de las resoluciones dictadas por la AEPD, para poder extraer algunos de los criterios que la AEPD está siguiendo para sancionar o archivar las denuncias realizadas por usuarios afectados, que han recibido informaciones publicitarias no deseadas.

El archivo de actuaciones: en todas estas resoluciones la AEPD, determinó que no había incumplimiento del artículo 21 de la LSSICE, siguiendo los siguientes criterios:

Publicado en Blog

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal